Informationen zu GitHub Advanced Security Produkten
GitHub verfügt über viele Features, die Ihnen helfen, die Qualität Ihres Codes zu verbessern und aufrechtzuerhalten. Einige davon sind in allen Plänen enthalten, z. B. Abhängigkeitsdiagramm und Dependabot alerts.
Andere Sicherheitsfeatures erfordern, dass Sie eines der GitHub-Advanced Security-Produkte kaufen.
- GitHub Secret Protection enthält Features, mit denen du Geheimnislecks erkennen und verhindern kannst, z. B. secret scanning und Pushschutz.
- GitHub Code Security enthält Features, die dir helfen, Sicherheitsrisiken wie code scanning zu finden und zu beheben, Dependabot Premium-Features und Abhängigkeitsüberprüfung.
Alternativ hast du möglicherweise eine GitHub Advanced Security-Lizenz, die alle Features in GitHub Secret Protection und GitHub Code Security einschließt.
Einige dieser Funktionen, wie code scanning und secret scanning, sind standardmäßig für öffentliche Repositories aktiviert. Um das Feature in Ihren privaten oder internen Repositorys auszuführen, müssen Sie das entsprechende GitHub Advanced Security Produkt erwerben.
Sie müssen sich auf einem GitHub Team oder GitHub Enterprise Plan befinden, um GitHub Code Security oder GitHub Secret Protection zu kaufen. Weitere Informationen findest du unter Pläne von GitHub und GitHub Advanced Security Lizenzabrechnung.
GitHub Code Security
Sie erhalten die folgenden Features mit GitHub Code Security:
-
Code scanning: Suchen Sie mithilfe eines Drittanbietertools nach potenziellen Sicherheitsrisiken und Codierungsfehlern in Ihrem Code CodeQL .
-
CodeQL CLI: Führen Sie CodeQL Prozesse lokal für Softwareprojekte aus oder generieren code scanning Sie Ergebnisse für den Upload in GitHub.
-
Copilot Autofix: Abrufen automatisch generierter Korrekturen für code scanning Warnungen.
-
Sicherheitskampagnen: Reduzieren der Sicherheitsschulden im großen Maßstab.
-
Benutzerdefinierte Regeln für die automatische Triage für Dependabot: Verwalten Sie Ihr Dependabot alerts im großen Maßstab, indem Sie automatisieren, welche Warnmeldungen Sie ignorieren, verzögern oder für die Sie ein Dependabot Sicherheitsupdate auslösen möchten.
-
Abhängigkeitsprüfung: Zeigt die vollen Auswirkungen von Änderungen an Abhängigkeiten und Details zu verwundbaren Versionen an, bevor du eine Pull-Request zusammenführst.
-
Sicherheitsübersicht: Verstehe die Distribution des Risikos in deiner Organisation.
Die folgende Tabelle fasst die Verfügbarkeit von GitHub Code Security Features für öffentliche und private Repositorys zusammen.
| Öffentliches Repository Ohne GitHub Code Security | Privates Repository Ohne GitHub Code Security | Öffentliches oder privates Repository mit GitHub Code Security | |
|---|---|---|---|
| Code scanning | |||
| CodeQL CLI | |||
| Copilot Autofix | |||
| Sicherheitskampagnen | |||
| Benutzerdefinierte Regeln für die automatische Triage | |||
| Abhängigkeitsüberprüfung | |||
| Sicherheitsübersicht |
Weitere Informationen zu den Funktionen finden Sie unter GitHub Sicherheitsfunktionen.
GitHub Secret Protection
Sie erhalten die folgenden Features mit GitHub Secret Protection:
- Secret scanning: Erkennen Sie geheime Schlüssel und Token, die in ein Repository eingecheckt wurden, und empfangen Sie Warnungen.
- Pushschutz: Verhindern Sie das Offenlegen von Geheimnissen, bevor es passiert, indem Sie Commits blockieren, die Geheimnisse enthalten.
- Copilot geheimen Scan: Nutzen Sie KI, um unstrukturierte Anmeldeinformationen wie Kennwörter zu erkennen, die in ein Repository eingecheckt wurden.
- Benutzerdefinierte Muster: Das Erkennen und Verhindern von Lecks für organisationsspezifische Geheimnisse.
- Delegierter Bypass für Pushschutz und Delegierte Warnungszurückweisung: Implementieren Sie einen Genehmigungsprozess, um besser zu kontrollieren, wer in Ihrem Unternehmen befugt ist, vertrauliche Aktionen auszuführen, und unterstützen Sie so eine umfassende Governance.
- Sicherheitskampagnen: Beheben Sie exponierte Geheimnisse in großem Umfang, indem Sie eine Kampagne erstellen und gemeinsam an der Lösung arbeiten.
- Sicherheitsübersicht: Verstehen der Verteilung von Risiken in deiner Organisation.
Die folgende Tabelle fasst die Verfügbarkeit von GitHub Secret Protection Features für öffentliche und private Repositorys zusammen.
| Öffentliches Repository Ohne GitHub Secret Protection | Privates Repository Ohne GitHub Secret Protection | Öffentliches oder privates Repository mit GitHub Secret Protection | |
|---|---|---|---|
| Geheimnisüberprüfung | |||
| Push-Schutz | |||
| Copilot geheimen Scan | |||
| Angepasste Muster | |||
| Delegierte Umgehung für den Push-Schutz | |||
| Sicherheitskampagnen | |||
| Sicherheitsübersicht |
Weitere Informationen zu den einzelnen Funktionen finden Sie unter GitHub Sicherheitsfunktionen.
Ausführen einer kostenlosen Sicherheitsrisikobewertung
Erste Schritte mit SicherheitsrisikobewertungenOrganisationen auf GitHub Team und GitHub Enterprise können kostenlose Sicherheitsrisikobewertungen durchführen, um ihre Exposition gegenüber Sicherheitsrisiken zu verstehen.
-
Geheime Leaks: Scannen Sie Ihre Organisation auf durchgesickerte Geheimnisse, und sehen Sie, wie viele davon von GitHub Secret Protectionhätten verhindert werden können. Weitere Informationen findest du unter Geheime Sicherheit mit GitHub.
-
Coderisiken: Scannen Sie bis zu 20 Ihrer aktivsten Repositorys, und sehen Sie, mit Copilot Autofix wie vielen Sicherheitsrisiken bei Aktivierung GitHub Code Securityautomatisch behoben werden kann. Weitere Informationen findest du unter Codesicherheitsrisikobewertung.
Bereitstellen GitHub Code Security und GitHub Secret Protection
Informationen darüber, was Sie wissen müssen, um die Bereitstellung von GitHub Code Security und GitHub Secret Protection im Überblick zu planen, sowie einen Überblick über die von uns empfohlenen Rolloutphasen zu erhalten, finden Sie unter Einführen von GitHub Advanced Security im großen Stil.
Aktivieren der Funktionen
Sie können schnell Sicherheitsfunktionen in großem Maßstab mit einem security configuration, einer Sammlung von Sicherheitsaktivierungseinstellungen, die Sie auf Repositorys in einer Organisation anwenden können, aktivieren. Sie können die Merkmale von Advanced Security auf Organisationsebene mit global settings anpassen. Weitere Informationen findest du unter Aktivierung von Sicherheitsfunktionen in großem Maßstab.
Wenn Sie sich in einem GitHub Team oder GitHub Enterprise Plan befinden, wird die Lizenzverwendung für das gesamte Team oder Unternehmen auf Ihrer Lizenzseite dargestellt. Siehe Anzeigen Ihres Nutzungsverhaltens von getakteten Produkten und Lizenzen.
Verwalten GitHub Advanced Security
Unternehmensbesitzer können die Lizenzierung und den Zugriff für ihr Unternehmen verwalten GitHub Advanced Security , einschließlich der Deaktivierung GitHub Advanced Security über alle Repositorys hinweg und die zukünftige Erneute Aktivierung verhindern. Weitere Informationen findest du unter Verwalten von Volumenlizenzen für GitHub Advanced Security.
Informationen zum Verwalten Ihrer GitHub Advanced Security Lizenz finden Sie unter Verwalten Ihrer kostenpflichtigen Nutzung von Advanced Security.
GitHub Copilot Gespräch nutzen, um Sicherheitswarnungen besser zu verstehen
Darüber hinaus können Sie mit einer GitHub Copilot Enterprise Lizenz Hilfe GitHub Copilot Gespräch anfordern, um Sicherheitswarnungen in Repositorys in Ihrer Organisation (code scanning, secret scanning und Dependabot alerts) besser zu verstehen. Weitere Informationen findest du unter Fragen an GitHub Copilot in GitHub stellen.
Informationen zur GitHub Advanced Security Zertifizierung
Sie können Ihr Wissen zur Geltung bringen, indem Sie ein GitHub Advanced Security Zertifikat bei GitHub Certifications erhalten. Die Zertifizierung überprüft deine Expertise in sicherheitsrelevanter Identifizierung, Workflowsicherheit und robuster Sicherheitsimplementierung. Weitere Informationen findest du unter Informationen zu GitHub Certifications.
Informationen zu GitHub Advanced Security mit Azure Repos
Wenn Sie